@ BUNDESREPUBLIK ® Offeniegungsschrift 

DEUTSCHLAND ^ Q£ 10021 686 A 1 




DEUTSCHES 
PATENT- UND 
MARKENAMT 



® 



@ Aktenzeichen: 
@ Anmeldetag: 
@ Offenlegungstag: 



® Int.CI.': 

G 06 F 12/14 

H 04 L 12/22 



100 21 686.2 
5. 5.2000 
8. 11.2001 



00 

o 
o 

Ul 

Q 



(g) Anmelder: 

Deutsche Thomson-Brandt GmbH, 78048 
Villmgen-Schwenningen, DE 



(g) Erfinder: 

Platte, Hans-Joachim, Dr., 30966 Hemmingen, DE; 
Fleischer, Wolfgang, 30171 Hannover, DE 

(g) Fur die Beurteilung der Patentfahigkeit in Betracht 
zuziehende Druckschriften: 



US 



56 75 711 



Die f olgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(M) Verfahren zur Reduktion der Verbreitung von Computerviren in einem elektronischen Mail-Netzwerk 

(§) Die Erfindung betrifft ein Verfahren zur Reduktion der 
Verbreitung von Computerviren in eInem elektronischen 
Mail-Netzwerk. 

In einem Mailserver mit einer Vlelzahl angeschlossener 
Mailteilnehmer-Computer ist ein Verfahren installiert, mit 
dem an die Teilnehmer nacheinander eingehende oder 
von den Teilnehmern nacheinander ausgehende Mails 
auf bestimmte Gemeinsamkeiten gepruft werden und in 
Abhangigkeit von festgestellten Gemeinsamkeiten ent- 
weder die Mails bestimmungsgemal^ automatisch wei- 
tergeleitet oder bis zum Eintreten eines anderen Kriteri- 
ums zuruckgehalten werden. 
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Beschreibung 

[0001] Die Erfindung betrifft ein Verfahren zur Reduktion 
der Verbreitung von Computerviren in eineni elektronischen 
Mail-Neizwerk. 5 

Stand der Technik 

[0002] In der heutigen Zeit elektxonischer Mails und welt- 
weiter Vemetzung von Coniputem bilden viele Formen von lO 
sogenannten Computerviren cine groBe Gefahr fur Firmen, 
die ihre in Nelzwerken verbundenen Computer auch mit der 
elektronischen AuBenwelt verbunden beireiben. An den 
Verbindungsstellen zur elektronischen AuBenwelt, wie zuni 
Beispiel deni Internet, werden spezielle Computer als soge- 15 
nannten Firewalls betrieben, die u. a. veisuchen, mit elek- 
tronischen Viren behaftete Mails von auBen herauszufiltem 
bevor diese die firmeneigenen Computer erreichen konnen. 
Die Erkennung eines Mrus erfolgt durch spezielle Software, 
die jeweils vom Hers teller auf dem Stand der neuesten Vi- 20 
ren-Pattem gehalten werden muB. 

[0003] Zwischen Auftreten eines neuen Virus und der Er- 
zeugung und Verbreitung eines neuen Viren-Pattems ver- 

geht jedoch eine gewisse Zeit, in der der Virus erhebliche 
Schaden anrichten kann. Die Methode des Viren-Erkennens 25 
im Firewall-Computer ist somit grundsatzlich anfallig. 
Denn zur Herstellung eines Viren-Pattems muB zunachst ein 
Vims bekannt werden, was iiblicherweise schon mit einem 
Schadensfall verbunden ist. Wrdein Virus vom Urheber ge- 
Schick! und brcit gleichzeitig in Firmennetzwcrkc einge- 30 
schleust, so wird die Schadensbegrenzung ein Wettlauf mit 
der Zeit zwischen der \^renausbreitung und dem Erstellen 
und Installieren von Erkennungsprogrammen. Durch beson- 
dere Strukturen kann der Virus innerhalb von wenigen Stun- 
den, die die Erstellung eines Erkennungsmusters benotigl, 35 
erhebliche Schaden anrichten, indem er die befallenen Com- 
puter zum Beispiel zur schneeballartigen Aussendung von 
Kopicn seiner sclbst an allc in dicscm Computer gcspcichcr- 
ten Mail-Adressen veranlaBt. 

40 

Erfindung 

[0004] Ziel dieser Erfindung ist die Begrenzung bzw. Un- 
terbrechung der schneeballartigen Weiterverteilungskette 
des Virus. 45 
[0005] Die Erfindung wird durch die im Anspruch 1 ange- 
gebenen Merkmale gelost. 

[0006] Vorteilhafte Weiterbildungen sind in den Unteran- 
spruchen wiedergegeben. 

[0007] ErfindungsgemaB wird in einem Mailserver mit ei- 50 
ner Vieizahl angeschlossener Mailteilnehmer-Computer ein 
Verfahren installiert, mit dem an die Teilnehmer nacheinan- 
der eingehende oder von den Teilnehmern nacheinander 
ausgehende Mails auf bestimmte Gemeinsamkeiten gepriift 
werden und in Abhangigkeit von festgestellten Gemeinsam- 55 
keiten entweder die Mails bcstimmungsgemaB automatisch 
weitergeleitet oder bis zum Eintreten dnes anderen Kriterir 
urns zuriickgeh alien werden. 

[0008] Als Kriterium der festgestellten Gemeinsamkeit 
kann das Auftreten der selben Betreffzeile in einer Mehrzahl 60 
von Mails sein, das Auftreten des selben Inhaltstcxtes, eines 
gleichen Attachments und/oder die selbe oder zeitnahe Ab- 
sende- oder Empfangszeit gewahlt werden. 
[0009] In dem Fall, dass eine elekUronische Mail aufgrund 
einer oder mehrerer dieser Kriterien automatisch zuriickge- 65 
halten wird, kann eine Mail-Riickfrage durch den Mailser- 
ver dem absendenden Mailteilnehmer zugeleitet werden, ob 
dieser alle mit erheblichen Gemeinsamkeiten versehene 
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Mails wirklich verschicken will und dieser absendende 
Mailteilnehmer darauf mit einer expliziten Bestadgung ant- 
wortet, 

[0010] Als eine "explizite Bestatigung" des absendenden 

Mailteilnehmers kann vorzugsweise die Eingabe einer Ken- 
nung oder eines Passwortes dienen. 

[0011] Altemativ oder als ein weiteres "anderes Krite- 
rium" kann eine Mail-Riickfrage bei dem Administrator des 
betreffenden Netzwerkes sein, ob dieser alle mit erheblichen 
Gemeinsamkeiten versehenen Mails wirklich verschickt se- 
hen will und dieser Administrator darauf mit einer explizi- 
ten Bestatigung antwortet. 

[0012] Vorzugsweise konnen solche gekennzeichneten 
elektronischen Mails auch nach Ablauf einer verzogemden 
Zeit weitergeleitet werd«i. Die Zeitverzogerung sollte dann 
vorteilhaft so groB sein, daB auf eine Viren wamung von au- 
Berhalb reagiert werden kann oder in einen vorgegebenen 
Zeitrahmen fallen, zum Beispiel in die normale Arbeitszeit 
des Administrators. 

Patenlansprtiche 

1. Verfahren zur Reduktion der Verbreitung von Com- 
puterviren in einem elektronischen Mail-Netzwerk mit 
einem Mailserver und einer daran angeschlossenen 
Vieizahl von Mai Iteilnehmer-Compu tern durch an die 
Teilnehmer nacheinander eingehende oder von den 
Teilnehmern nacheinander ausgehende Mails, da- 
durch gekennzeichnet, dass die an die Teilnehmer 
nacheinander eingehenden oder von den Teilnehmern 
nacheinander ausgehenden Mails auf bestimmte Ge- 
meinsamkeiten gepriift werden und in Abhangigkeit 
von festgestellten Gemeinsamkeiten entweder die elek- 
tronischen Mails bestimmungsgemaB automatisch wei- 
tergeleitet werden oder bis zum Eintreten eines anderen 
Kriteriums zuriickgeh alten werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass als Kriterium dor festgestellten Gemeinsam- 
keit das Auftreten der selben Betreff-Zeile in einer 
Mehrzahl von Mails, das Auftreten des selben Inhalt- 
stextes, eines gleichen Attachments und/oder die selbe 
oder zeitnahe Absende- oder Empfangszeit verwendet 
wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekenn- 
zeichnet, dass in dem Fall, dass eine elektronische Mail 
aufgrund einer oder mehrerer dieser Kriterien automa- 
tisch zuriickgehalten wird, eine Mail-Riickfrage durch 
den Mailserver dem absendenden Mailteilnehmer zu- 
geleitet wird. 

4. Verfahren nach Anspruch 3, dadurch gekennzeich- 
net, dass diese mit erheblichen Gemeinsamkeiten ver- 
sehenen Mails durch den Mailserver verschickt wer- 
den, wenn der absendende Mailteilnehmer die Mail- 
Riickfrage durch den Mailserver mit einer expliziten 
Bestatigung bestatigt. 

5. Verfahren nach Anspnjch 4, dadurch gekennzeich- 
net, dass als eine "explizite Bestatigung" des absenden- 
den Mailteilnehmers vorzugsweise die Eingabe einer 
Kennung oder eines Passwortes dient. 

6. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass als ein weiteres anderes Kriterium eine Mail- 
Riickfrage bei dem Administrator des betreffenden 
Netzwerkes durchgefuhrt wird, ob dieser alle mit er- 
heblichen Gemeinsamkeiten versehenen Mails wirk- 
lich verschickt sehen wiD und dieser Administrator 
darauf mit einer expliziten Bestatigung antwortet. 

7. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, dass solche gekennzeichneten elektronischen 



DE 100 21 686 A 1 

3 



Mails nach Ablauf einer verzogemden Zeit weiterge- 
leitei werden. 

8. Verfahren nach Anspruch 7, dadurch gekennzeich- 
net, dass die Zeiiveraogerung in einen vorgegebenen 
Zeitrahmen falli, voraugsweise in die nomiale Arbeils- 
zeit des Administrators. 
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